Une nouvelle enquête de Venafi révèle que 94 % des cadres supérieurs estiment que les fournisseurs de logiciels qui ne protègent pas l'intégrité de leurs pipelines de création de logiciels devraient avoir des conséquences claires, telles que des amendes et une responsabilité juridique accrue pour les entreprises dont la négligence a été prouvée.Cependant, la plupart d'entre eux n'ont guère changé leur façon d'évaluer la sécurité des logiciels qu'ils achètent et les garanties qu'ils exigent des fournisseurs de logiciels.
Parmi les autres résultats, 97 % des dirigeants pensent que les fournisseurs de logiciels doivent améliorer la sécurité de leurs processus de création de logiciels et de signature de code. 96 % pensent également que les fournisseurs de logiciels devraient être tenus de garantir l'intégrité du code dans leurs mises à jour logicielles.
Malgré cela, 55 % déclarent que le piratage de SolarWinds n'a eu que peu ou pas d'impact sur les préoccupations qu'ils prennent en compte lors de l'achat de logiciels pour leur entreprise. En outre, 69 % déclarent que leur entreprise n'a pas augmenté le nombre de questions qu'elle pose aux fournisseurs de logiciels sur les processus utilisés pour assurer la sécurité de leurs logiciels et vérifier le code.
"Il y a une déconnexion évidente entre l'inquiétude concernant les attaques de la chaîne d'approvisionnement et l'amélioration des contrôles et des processus de sécurité pour atténuer ce risque", déclare Kevin Bocek, vice-président de la stratégie de sécurité et du renseignement sur les menaces chez Venafi. "Les dirigeants ont raison de s'inquiéter de l'impact des attaques de la chaîne d'approvisionnement. Ces attaques présentent des risques sérieux pour toute organisation qui utilise des logiciels commerciaux et il est extrêmement difficile de s'en défendre. Pour résoudre ce problème systémique, l'ensemble du secteur technologique doit changer la façon dont nous construisons et achetons les logiciels. Les dirigeants ne peuvent pas traiter ce problème comme un simple problème technique de plus - il s'agit d'une menace existentielle. Les cadres dirigeants et les conseils d'administration doivent exiger que les équipes de sécurité et de développement des fournisseurs de logiciels fournissent des garanties claires quant à la sécurité de leurs logiciels."
L'étude montre également que les cadres sont divisés sur la question de savoir qui est responsable de l'amélioration de la sécurité au sein de leurs propres organisations de développement de logiciels. 48 % d'entre eux estiment que la sécurité informatique est responsable et 46 % pensent que les équipes de développement sont responsables.
Source : Venafi
Et vous ?
Que pensez-vous des résultats de cette enquête ? êtes-vous d'accord avec les résultats ? Si la sécurité et l'intégrité d'un logiciel sont la responsabilité des fournisseurs, que pensez-vous de l'attitude relativement laxiste des acheteurs pour évaluer la qualité et la sécurité des logiciels qu'ils acquièrent ?Voir aussi :
Le Top 10 des nouvelles vulnérabilités de sécurité de l'open source en 2019, avec des failles dans des projets écrits dans des langages populaires comme JavaScript, Java, Go, selon un rapport Le nombre de vulnérabilités rapportées sur des logiciels open source a doublé en 2019, selon un rapport de RiskSense 56 % des incidents majeurs de cybersécurité ces cinq dernières années concernaient des applications web vulnérables, exploitées majoritairement par des cybercriminels Etatiques, selon un rapport de F5 
Envoyé par calvaire
